Vergleich Referenz- / Container-Nutzer-Protokoll
.03 | LOG-MD / Malware Archaelogy
Protokolle, Referenz, Vergleich
Wie indentifiziere ich einen Schadcode, dessen Erscheinungsbild ich nicht kenne?
Unsere Lösung: Vor der Verwendung eines Internet-Containers erstellen wir, als Referenz,
umfangreiche System-Protokolle dieses Containers.
Durch den automatisierten Vergleich der Referenzprotokolle mit dem Protokollen eines genutzten Containers wird ein Differenz-Bericht erstellt.
Da der Container-Austausch denkbar einfach ist, reicht bereits der Hinweis auf eine Verände-rung, um einen Austausch zu starten.
Lösung → Soll-/ Ist-Vergleich der System-Protokolle
Die Qualität dieses Verfahrens ist abhängig von der Qualität der ver-wendeten Protokolle.
'LOG-MD'-Protokolle haben sich bei vielen Virus-Identifikationen bewährt.
1.Im Rahmen der Protokollierung werden u.a. folgende Prozesse überwacht:
NEW PROCESS STARTING, USER LOGON SUCCESS, SHARE ACCESSED, NEW SERVICE INSTALLED, NETWORK CONNECTION MADE,
FILE AUDITING, REGISTRY AUDITING, WINDOWS POWERSHELL COMMAND LINE EXECUTION, WINDOWS FIREWALL CHANGES, SCHEDULE TASKS ADDED.
2. Die Protokollierung und der Vergleich können sensibel eingestellt werden, da ein falsch-positiver Wert keine Probleme bereitet.
3. Ist es vorstellbar, dass ein Schadcode die Protokolle so manipuliert, dass keine Differenz mehr existiert oder erkennbar ist?
4. Das Löschen der Protokolle oder Teile der Protokolle brächte keinen Erfolg, da ihr Fehlen als Differenz erkannt würde.
5. Der Austausch aller Protokolle durch unbeeinflusste nach Ende der Virus-Attacke würde die unwahrscheinliche Annahme voraussetzen, dass Zahl, Umfang und Inhalt aller Protokolle dem Angreifer bekannt sind.